4月10日消息,据国外媒体报道,美国市场研究公司Forrester Research本周发布报告称,委托印度外包厂商从事研发活动的美国企业应当努力确保对方采取有力的措施保护数据安全,而不能仅仅流于形式。
流于形式
Forrester Research表示,许多印度企业最近几年都提升了安全措施,但仍然缺乏一定的执行力来确保这些措施的实施。由于过于依赖技术,而缺乏充分的培训和意识,因此从一定程度上削弱了这些措施的效果。
报告写道:“客户应当敦促供应商加大人员投入和培训力度,不仅需要高管做出承诺,还要推动政府机构制定更好的法规以便对相关措施进行适时的审查。”
负责撰写该报告的Forrester Research分析师苏蒂尔·爱普特(Sudhir Apte)说,许多安全措施的主要目的只是为了安抚用户的担忧,但实际效果却并不理想。他认为,多数印度外包企业的安全措施都只是流于形式,他们只是将这些措施作为一种营销方式。
多措并举
爱普特指出,为了安抚用户,印度政府、印度软件业和服务公司协会(以下简称“Nasscom”)以及多家印度企业已经采取了许多措施来提升安全性。例如,许多印度大型外包厂商已经部署了BS7799等国际安全标准,并且程度进一步增强财务报告标准的透明度,同时提升实体安保措施,以防范恐怖袭击。BS7799为企业提供了一系列IT系统安全控制标准。
印度政府也积极支持行业发展,并通过了《信息技术法案》(Information Technology Act),强制所有印度IT企业必须提供可供审查的数据安全项目。Nasscom成立的印度数据安全委员会(以下简称“DSCI”)也帮助印度IT服务行业以及商务流程外包厂商(BPO)增强了安全水平。
爱普特援引DSCI的报告称,几乎所有的印度IT服务企业和BPO过去两年间都已经任命了一名首席安全官,并且制订了有力的灾难恢复和业务延续计划。许多印度企业还部署了终端加密技术、管理工具以及虚拟安全措施。
效果欠佳
该报告对印度提升安全措施的意愿表示赞赏,但对实际结果却持保留态度。爱普特认为,其中最大的一个问题便是过度强调技术控制,以便达到相关政策规定和行业标准。但这些措施似乎都只是为了展示安全,而非减少威胁。员工培训和安全意识的提高等关键因素通常会被完全忽略,而且许多企业对控制权以及实体安保措施的管理比较散漫。
爱普特还指出,印度外包企业缺乏对安全项目的执行支持。他认为,印度许多首席安全官的许多报告都被上级忽视,而相关的执行支持也并不连贯。只有当出现问题或者被媒体曝光后,安全问题才会引起企业的重视。
爱普特认为,之所以出现这种情况,是因为很多将工作外包到印度的美国企业很少关注安全问题,他们通常更加关心价格,这一点在IT服务业尤为突出。他说:“BPO行业的客户更为敏感”。
美国咨询公司SystemExperts总裁乔纳森·格赛尔斯(Jonathan Gossels)认为,多数印度大型企业完全有能力提供一流的安全措施,但美国客户也需要明确自己对安全的期望。由于用户还不知道应当要求什么,也不知道如何细化自己的期望,使得安全措施大打折扣。
格赛尔斯说:“根据我个人的经验,领导企业对市场非常敏感。只要他们的用户要求更好的安全措施,他们就会做出响应。”
爱普特还特地为那些将业务外包到印度的美国企业提出了一些建议。例如,不仅要在合同中明确对信息安全威胁的防范,还要涵盖恐怖袭击和自然灾害的风险。企业还应当确保外包厂商不仅可以提供远程灾难恢复设施,还应当让对方委派专业技术人员负责监管。除此之外,该报告还建议美国企业敦促自己的外包合作伙伴加入DSCI等安全项目。